Веб -сервериңизде SSL кызматтарын күчөтүү (Apache/ Linux): 3 кадам

2024 Автор: John Day | [email protected]. Акыркы өзгөртүү: 2024-01-30 10:42

Бул киберкоопсуздуктун бир аспектиси - веб сервериңиздеги ssl кызматынын күчү менен байланыштуу өтө кыска үйрөткүч. Негизги нерсе, сиздин веб-сайтыңыздагы ssl кызматтары веб-сайтыңызга берилип жаткан маалыматты эч ким буза албашын камсыз кылуу үчүн колдонулат. OpenSSLдеги Heartbleed мүчүлүшү жана SSL 3.0 алсыздыгын пайдаланган Poodle мүчүлүгү сыяктуу SSLдин аялуу кызматтарына жакшы жарыяланган чабуулдар болду. (Бул аймак кыймылдуу максат болуп саналат, андыктан SSL тестин ISO 27001 план-до-текшерүү (PDCA) циклине киргизүү керек.)

Таанылган провайдердин сертификатын колдонуп ssl веб -сайтыңызга орнотулганда, сиз веб -сайтыңызга https://yourdomain.com дарегинен кирүүгө болорун көрөсүз. Бул маалыматтар артка жана алдыга шифрленген форматта өткөрүлөт дегенди билдирет. Тескерисинче, https://yourdomain.com же алсыз шифрлөө ачык маалыматты ачыкка чыгарат, демек, кичинекей хакер да сырсөзүңүздүн маалыматына ж.

Бул үйрөткүчтүн калган бөлүгүндө, сиз Apacheти Linuxтун веб -сервери катары колдоносуз деп ойлойм жана сиз веб -серверге шпаклевка сыяктуу терминалдык эмулятор аркылуу кире аласыз деп ойлойм. Жөнөкөйлүк үчүн, мен сиздин провайдериңиз SSL тастыктамаңызды берди деп ойлойм жана сиз анын кээ бир аспектилерин кайра конфигурациялай аласыз.

1 -кадам: Сиздин SSL кызматынын күчүн текшерүү

Жөн гана https://www.ssllabs.com/ssltest/ дарегине кирип, хосттун кутучасынын жанына домен атыңызды киргизиңиз жана "Натыйжаларды такталарда көрсөтпөө" деген кутучаны тандап, тапшыруу баскычын басыңыз. (Көңүл буруңуз, эч кандай домендерди алдын ала уруксатсыз текшербешиңиз керек жана тактада эч качан жыйынтык көрсөтпөшүңүз керек.)

Тесттер өткөрүлгөндөн кийин, сизге F+A+чейин упай берилет. Сизге деталдуу тестирлөөнүн жыйынтыктары берилет, бул сизге эмне үчүн берилген баллды бергениңизди айкын кылат.

Ийгиликсиздиктин кадимки себептери шифрлер же протоколдор сыяктуу эскирген компоненттерди колдонуп жатканыңызда. Мен жакында шифрлерге токтолом, бирок алгач криптографиялык протоколдор жөнүндө кыскача сөз.

Криптографиялык протоколдор компьютердик тармак аркылуу байланыш коопсуздугун камсыздайт. … Байланыш жеке (же коопсуз), анткени симметриялуу криптография берилүүчү маалыматтарды шифрлөө үчүн колдонулат. Эки негизги протокол TLS жана SSL болуп саналат. Акыркы колдонууга тыюу салынган жана өз кезегинде TLS өнүгүп жатат, ошондуктан мен муну жазып жатканымда, акыркы версиясы долбоор форматында болсо да 1.3. Практикалык жактан алганда, 2018 -жылдын январына карата, сизде TLS v 1.2 гана болушу керек. иштетилген. Балким, TLV v 1.3кө өтүү болот. учурунда 2018. Qualys тестинде сиз колдонгон кандай криптографиялык протоколдор тизмеленет жана учурда TLS v 1.2ден төмөн колдонуп жатсаңыз, сиз начар упай аласыз.

Криптографиялык протоколдор жөнүндө айта турган акыркы нерсе, GoDaddy сыяктуу негизги ISPтен веб -пакетти жана SSL сертификатын сатып алганда, бул TLS v 1.2 болот. бул жакшы, бирок андан ары, TLS v 1.3 деп айтыш үчүн жаңыртуу кыйын болушу мүмкүн. Жеке мен өзүмдүн SSL сертификаттарымды орнотуп жатам, ошондуктан мен тагдырымды көзөмөлдөп турам.

2 -кадам: SSL өзгөртүүлөрдү киргизүү үчүн Apacheди кайра конфигурациялоо

Qualys SSL тестинде сыналган маанилүү багыттардын бири жана бул бөлүмдүн фокусу сиздин берилиштериңиздин шифрлөө күчүн аныктоочу Cipher пакеттери. Бул жерде менин домендеримдин бириндеги Qualys SSL тестинен алынган мисал.

Cipher Suites # TLS 1.2 (Server-жактырган максатында Suites) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (Лачынского 3072 бит RSA.) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (.ж. 3072 бит РМА) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (.ж. 3072 биттей RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (экв. 3072 бит RSA) FS128

Сиз Qualys тест отчетунан кызыл сызыктарды (каталарды) алып салуу үчүн Apache конфигурацияңызды кайра конфигурациялоого көп убакыт коротушуңуз мүмкүн, бирок мен Cipher Suiteтин эң жакшы жөндөөлөрүн алуу үчүн төмөнкү ыкманы сунуштайм.

1) Apache веб -сайтына баш багыңыз жана Cipher Suite колдонуу үчүн алардын сунуштарын алыңыз. Жазуу учурунда мен бул шилтемени карадым -

2) Apache конфигурация файлына сунушталган жөндөөнү кошуп, Apacheди өчүрүп күйгүзүңүз. Бул мен колдонгон алардын сунуш кылган жөндөөсү болчу.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1-ECD-E30-ECH-E30H: ECDHE-ESCSA-AES256-GCM-SHA384 -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Эскертүүлөр - Кыйынчылыктардын бири - SSLCipherSuite директиваңызды өзгөртүү керек болгон файлды табуу, Бул үчүн Puttyге кирип, etc каталогуна кириңиз (sudo cd /etc) apache2 же http сыяктуу apache каталогун издеңиз. Кийинки, apache каталогунан төмөнкүдөй издеңиз: grep -r "SSLCipherSuite" /etc /apache2 - Бул сизге ушуга окшош жыйынтык берет:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Белгилей кетчү маанилүү нерсе /etc/apache2/mods-available/ssl.conf файлы же сиздики. Файлды nano сыяктуу редактор менен ачыңыз жана # SSL Cipher Suite бөлүмүнө өтүңүз:. Андан кийин SSLCipherSuite директивасындагы учурдагы жазууну Apache веб -сайтынан жогорудагыга алмаштырыңыз. Эски SSLCipherSuite көрсөтмөлөрүнө комментарий жазууну унутпаңыз жана Apacheти өчүрүп күйгүзүңүз - менин учурда, муну sudo /etc/init.d/apache2 терүү менен жаздым

Эске алыңыз, кээде сизге сунушталган Apache орнотууларын колдонгонуңузга карабай, сизге Qualys SSL тестинин төмөн упайын берген жаңы шифрлерди алып салуу керек болушу мүмкүн (мисалы, жаңы алсыздыктар табылгандыктан). Мисалы, Qualys отчетуңузда TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) төмөнкү сызык кызыл түстө (ийгиликсиз) чыкса, биринчи кадам - Apache SSLCipherSuite директиваңызда кайсы кодду өзгөртүү керек экенин табуу. Кодду табуу үчүн https://www.openssl.org/docs/man1.0.2/apps/ciphers… дарегине өтүңүз-бул кодду төмөнкүчө көрсөтөт: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384 алыңыз жана аны Apache Apache SSLCipherSuite директивасы катары кошкон жазуудан алып салыңыз жана андан кийин аягына чейин кошуңуз:!

Кайра Apacheти өчүрүп күйгүзүңүз жана кайра текшериңиз

3 -кадам: Жыйынтык

Менде SSL тестирлөө жөнүндө бир нерсе билдиңиз. Бул жөнүндө үйрөнө турган дагы көп нерселер бар, бирок мен сизди туура багытка бурдум деп үмүттөнөм. Кийинки сабактарымда мен кибер коопсуздуктун башка тармактарын камтыйм, андыктан байкап тургула.